Fix: Correcciones de seguridad críticas en deployment

- Eliminar exposición del puerto 4430 que creaba bypass a Traefik
- Eliminar comandos destructivos rm -rf que borraban datos en cada deploy
- Restringir permisos de directorios sensibles de 755 a 750

.gitea/workflows/build-and-deploy.yml

@@ -28,7 +28,7 @@ jobs:
       - name: Clean up existing stack
         run: docker compose --project-name $APP_NAME down || true
 
-      - name: Create and clean MeshCentral directories
+      - name: Create MeshCentral directories
         run: |
           # Crear directorios fijos en /srv/meshcentral
           mkdir -p /srv/meshcentral/data
@@ -36,10 +36,6 @@ jobs:
           mkdir -p /srv/meshcentral/backup
           mkdir -p /srv/meshcentral/config
 
-          # Limpiar SOLO el config.json (empezar de cero según el usuario)
-          rm -rf /srv/meshcentral/data/*
-          rm -rf /srv/meshcentral/files/*
-
       - name: Generate MeshCentral config.json
         run: |
           tee /srv/meshcentral/data/config.json > /dev/null <<'EOF'
@@ -93,10 +89,10 @@ jobs:
 
       - name: Set correct permissions
         run: |
-          chmod -R 755 /srv/meshcentral/data
-          chmod -R 755 /srv/meshcentral/files
-          chmod -R 755 /srv/meshcentral/backup
-          chmod -R 755 /srv/meshcentral/config
+          chmod -R 750 /srv/meshcentral/data
+          chmod -R 750 /srv/meshcentral/files
+          chmod -R 750 /srv/meshcentral/backup
+          chmod -R 750 /srv/meshcentral/config
 
       - name: Start MeshCentral stack
         run: docker compose --project-name $APP_NAME up -d --remove-orphans --wait